Udostępnij za pośrednictwem

Omówienie łączności sieciowej usługi Azure Virtual Desktop

Usługa Azure Virtual Desktop hostuje sesje klienta na hostach sesji uruchomionych na platformie Azure. Firma Microsoft zarządza częściami usług w imieniu klienta i zapewnia bezpieczne punkty końcowe do łączenia klientów i hostów sesji. Na poniższym diagramie przedstawiono ogólne omówienie połączeń sieciowych używanych przez usługę Azure Virtual Desktop.

Diagram Connections usługi Azure Virtual Desktop Network

Łączność sesji

Usługa Azure Virtual Desktop korzysta z protokołu RDP (Remote Desktop Protocol) w celu zapewnienia możliwości zdalnego wyświetlania i wprowadzania danych za pośrednictwem połączeń sieciowych. Protokół RDP został początkowo wydany z systemem Windows NT 4.0 Terminal Server Edition i stale rozwijał się wraz z każdym systemem Microsoft Windows i Windows Server wersji. Od samego początku protokół RDP był niezależny od swojego bazowego stosu transportowego, a obecnie obsługuje wiele rodzajów transportu.

Transport odwrotnego połączenia

Usługa Azure Virtual Desktop używa transportu odwrotnego połączenia do ustanawiania sesji zdalnej i przenoszenia ruchu RDP. W przeciwieństwie do wdrożeń lokalnych usług pulpitu zdalnego, transport odwrotnego połączenia nie używa odbiornika TCP do odbierania przychodzących połączeń RDP. Zamiast tego używa łączności wychodzącej z infrastrukturą usługi Azure Virtual Desktop za pośrednictwem połączenia HTTPS.

Kanał komunikacji hosta sesji

Po uruchomieniu hosta sesji usługi Azure Virtual Desktop usługa modułu ładującego agenta pulpitu zdalnego ustanawia trwały kanał komunikacji brokera usługi Azure Virtual Desktop. Ten kanał komunikacji jest warstwowy na podstawie bezpiecznego połączenia TLS (Transport Layer Security) i służy jako magistrala do wymiany komunikatów usługi między hostem sesji a infrastrukturą usługi Azure Virtual Desktop.

Sekwencja połączeń klienta

Sekwencja połączeń klienta jest następująca:

  1. Za pomocą obsługiwanego klienta usługi Azure Virtual Desktop użytkownik subskrybuje obszar roboczy usługi Azure Virtual Desktop.

  2. Microsoft Entra uwierzytelnia użytkownika i zwraca token używany do wyliczania zasobów dostępnych dla użytkownika.

  3. Klient przekazuje token do usługi subskrypcji kanału informacyjnego usługi Azure Virtual Desktop.

  4. Usługa subskrypcji kanału informacyjnego usługi Azure Virtual Desktop weryfikuje token.

  5. Usługa subskrypcji kanału informacyjnego usługi Azure Virtual Desktop przekazuje listę dostępnych pulpitów i aplikacji z powrotem do klienta w postaci konfiguracji połączenia podpisanego cyfrowo.

  6. Klient przechowuje konfigurację połączenia dla każdego dostępnego zasobu w zestawie plików .rdp .

  7. Gdy użytkownik wybierze zasób do nawiązania połączenia, klient używa skojarzonego .rdp pliku i ustanawia bezpieczne połączenie TLS 1.2 z wystąpieniem bramy usługi Azure Virtual Desktop za pomocą usługi Azure Front Door i przekazuje informacje o połączeniu. Opóźnienie ze wszystkich bram jest oceniane, a bramy są umieszczane w grupach o wartości 10 ms. Wybierana jest brama z najniższym opóźnieniem, a następnie najmniejszą liczbą istniejących połączeń.

  8. Brama usługi Azure Virtual Desktop weryfikuje żądanie i prosi brokera usługi Azure Virtual Desktop o zorganizowanie połączenia.

  9. Broker usługi Azure Virtual Desktop identyfikuje hosta sesji i używa wcześniej ustanowionego kanału komunikacji trwałej do zainicjowania połączenia.

  10. Stos pulpitu zdalnego inicjuje połączenie TLS 1.2 z tym samym wystąpieniem bramy usługi Azure Virtual Desktop, które jest używane przez klienta.

  11. Po połączeniu klienta i hosta sesji z bramą brama rozpoczyna przekazywanie danych między obydwoma punktami końcowymi. To połączenie ustanawia podstawowy transport połączenia odwrotnego dla połączenia RDP za pośrednictwem zagnieżdżonego tunelu przy użyciu wzajemnie uzgodnionej wersji protokołu TLS obsługiwanej i włączonej między klientem a hostem sesji do protokołu TLS 1.3.

  12. Po ustawieniu transportu podstawowego klient uruchamia uzgadnianie protokołu RDP.

Zabezpieczenia połączeń

Protokół TLS jest używany dla wszystkich połączeń. Używana wersja zależy od tego, które połączenie zostało nawiązane, oraz możliwości klienta i hosta sesji:

  • W przypadku wszystkich połączeń zainicjowanych przez klientów i hosty sesji ze składnikami infrastruktury usługi Azure Virtual Desktop jest używany protokół TLS 1.2. Usługa Azure Virtual Desktop używa tych samych szyfrowaniy TLS 1.2 co usługa Azure Front Door. Ważne jest, aby upewnić się, że zarówno komputery klienckie, jak i hosty sesji mogą używać tych szyfrów.

  • W przypadku transportu odwrotnego połączenia zarówno klient, jak i host sesji łączą się z bramą usługi Azure Virtual Desktop. Po nawiązaniu połączenia TCP dla transportu podstawowego klient lub host sesji weryfikuje certyfikat bramy usługi Azure Virtual Desktop. Następnie protokół RDP ustanawia zagnieżdżone połączenie TLS między klientem a hostem sesji przy użyciu certyfikatów hosta sesji. Wersja protokołu TLS używa wzajemnie uzgodnionej wersji protokołu TLS obsługiwanej i włączonej między klientem a hostem sesji do protokołu TLS 1.3. Protokół TLS 1.3 jest obsługiwany od Windows 11 (21H2) i Windows Server 2022 r. Aby dowiedzieć się więcej, zobacz Windows 11 obsługa protokołu TLS. W przypadku innych systemów operacyjnych skontaktuj się z dostawcą systemu operacyjnego, aby uzyskać obsługę protokołu TLS 1.3.

Domyślnie certyfikat używany do szyfrowania RDP jest generowany przez system operacyjny podczas wdrażania. Można również wdrożyć centralnie zarządzane certyfikaty wystawione przez urząd certyfikacji przedsiębiorstwa. Aby uzyskać więcej informacji na temat konfigurowania certyfikatów, zobacz Konfiguracje certyfikatów odbiornika pulpitu zdalnego.

Następne kroki